7. #Trust#작업마스터# 도메인 컨트롤러 업글

1. 원격 로그온 과정

​# 컴퓨터 DATA 공유 폴더에 엑세스 하기 위해서는 먼저 사용자 인증을 받아야 한다

​# Test 가 도메인에 잇는 ServB 컴퓨터의 DATA 공유 폴더에 엑세스 하기 위해서는 먼저 사용자 인을 을 받아야 한다

# 클라이언트 컴퓨터에 로그온시 박은 세션티켓은 해당 컴퓨터에서만 사용할수 있기때문에 ServerB에게 제공하기 위해 사용할수 없다 ServerB에서 제공하기 위해 세션티켓을 받아야 한다 ​

# ​ServerB에서 사용 할수 있는 세션티켓은 자기 도메인의 컨트롤러만이 생성 할수 있기때문에 ServerB에서만 사용할수 있는 티켓을 클라이언트 제공했다는 것은 이미 사용자에 대한 확인이 이루어 졌다는 것을 의미한다.

# 서버에서 사용자 인증을 위해 도메인 컨트롤러와 추가 통신이 필요없기 때문에 성능 향상을 가져온다

# 도메인의 모든 서버의 자원을 사용하기 위한 인증을 모두 받을수 있게 된다

​

2. Trusted Domains​

# 선택인증으로 변경하면 자동 로그인이 안된다

# 선택한 인증만 로그인 가능​

​# 인증된 권한을 줘야 지만 접근이 가능 하다

 

 

 

 

 

 

 

 

 

 

 

 

 # 도메인 선택 인증

*전체 포리스트인증에서 선택인증으로 변경 *

​# cloud.vm(DC)에서 사용ㅈ 계정 만들고 -> SEV02에서 포리스트 기능 -> 도메인을 선택 인증을 선택 하고 -> Computers 에서 C1사용자가 로그인 되도록 설정 하고 나서 로그인 해봄

# ​DC1에서 -> Domain Controllers 에서 -> 보안 -> 추가 -> 위치 ibbank.vm -> administrator 추가 해주고 나서

# SRV02에가서 공유 폴더 만들고 C1,C2만들어 권한 주면 됨​

 

3. 작업마스터의 역할

# 도메인 컨트롤러들은 BDC

# Active Directory Database를 유지하고 있고, 이들은 복제를 통하여 서로의 디렉터리 데이터베이스를 일치시키는 작업을 하게 된다.

# ​ 도메인내에서 모든 도메인 컨트롤러가 동등하게 동작한다고 하더라도 그렇게 해서는 문제가 생길 수 있는 작업들이 있기 때문에 Active Directory도메인에서도 특별한 몇몇 작업에 한정해서는 하나의 도메인 컨트롤러를 지정하여 처리를 하고 있고, 이러한 역할을 맡은 도메인 컨트롤러를 가리켜서 “작업 마스터(Operation Master)”라고 부른다.

# ​작업 마스터 역할을 맡은 도메인 컨트롤러는 다른 도메인 컨트롤러보다는 조금은 더 신경써서 관리해야 할 필요가 있고, 도메인에는 반드시 이 역할을 맡은 도메인 컨트롤러가 1대만 존재하도록 유지를 해 주어야 한다.

# ​FSMO (Flexible Single Master Operations)

​

# ​도메인 명령 작업마스터(Domain Naming Master) : 도메인의 이름을 관리하는 역할을 하는 서버이다.

​

#​ 스키마 마스터 (Schema Master) : 스키마는 Active Directory의 모든 개체들의 속성을 정의한 데이터베이스이다.

​

​# RID 마스터 (RID Master) : Active Directory에서 생성되는 모든 개체에는 SID(Security Identify)가 할당되는데 이 SID는 도메인SID에 RID(Relative Identify)가 플러스되어 생성된다.

​

# ​PDC 에뮬레이터 (PDC Emulator) : 이름에서 느껴지는 것처럼 NT4.0의 PDC처럼 동작하겠다는 것인데, 이것은 여러가지 작업을 맡아서 처리하고 있다

​- Windows 2000 이전버전의 OS를 사용하는 사용자계정의 암호가 변경되었을 때 변경사항을 관리

- 타임서버로 동작하여 SMTP((Simple Network Time Protocol) 을 이용하여 도메인의 모든 멤버들에게 시간 동기화를 처리함

- 타임서버 / 그룹 정책이 저장되는 기본위치 도 역시 PDC에뮬레이터이다​

 

# ​인프라 마스터 (Infrastructure Master) :  복수도메인 환경에서 A도메인의 글로벌 그룹이 B도메인의 로컬 그룹에 포함되었다거나 하는 형태로 서로 다른 도메인간에 그룹멤버쉽이 구성되었을 때, 다른 도메인에 있는 개체들의 일부 복제 데이터를 ‘인프라 마스터’가 유지하는 일을 한다(하부구조 마스터)

- ​다른 도메인 에 있는 개체들의 일부 복제 데이터를 인프라 마스터가 유지 하는 일을함

- 업데이트의 필요성이 없어서 어떠한 업데이트도 하지 않기 때문

- 단일 도메인 컨트롤러 가 글로벌 카탈로그 서버 역할을 하는 경우 라면 인프라 마스터를 어디에 두어도 상관없음​

 

# administrator -500 관리 번호 이다

​

4. 2003 도메인 컨트롤러 업그레이드 (win2003 컨트롤러 -> win2008컨트롤러 변경)

1)첫번째방법

 

 

 

 

 

2.두번째 방법

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

* 사진 순서 안맞음* 참고만 ​

기존 windows 2003 AD환경에서 Windows 2008R2 AD 환경으로 업그레이드를 위한 사전 사업
전제조건 : WIN2003 도메인 기능 수준 2003 업그레이드

기존 2003에서 ad 스키마 확장
nyc-dc1에서 windows 2008R2 시디 삽입하면 에러나와도 정상 : 확인
CMD 명렁
드라이브 변경 : D:
CD support\adprep
포리스트 확장
adprep32.exe /forestprep ->C 입력 후 ENter

도메인 확장/그룹정책 확장(정보 업데이트)
adprep32.exe /domainprep /gpprep

windows 2008R2 Read-only Domain controller 추가 하기위한 사전 작업
adprep32.exe /rodcprep

windows 2008R2 기존 WIndows 2003 서버의 추가 도메인 컨트롤러로 추가.
1. ping a.com
2. 실행 -> dcpromo ->AD 설치 마법사 ->다음 ->다음 -> 기존 포리스트 : 기존 도메인에 추가 도메인 컨틀롤러 체크 -> 네트워크 자격증명 : a.com 대체 자격증명 : a\administrator 암호 입력 -> 다음 -> 사이트 선택 다음 ->DNS 서버, 글로벌 카탈로그 체크 -> 다음 -> 디렉토리 복원모드 암호 입력 -> 다음 -> 완료시 다시 시작 체크 ->리부팅

신규 Windows 2008 R2 도메인 컨트롤로러 작업마스터 이동

1.관리도구 -> AD 사용자 및 컴퓨터 ->a.com 오른쪽 작업 마스터 클릭 ->
RID/PDC/인프라 마스터 -> Lon-DC1.a.com 으로 변경 -> 변경 클릭 ->작업 마스터 변경 하시겠습니까 ? 같은 작업 수행

위의 세개의 작업마스터 Lon-dc1으로 변경 ..
2. 도메인 명명 마스터 변경
관리도구 -> AD 도메인 및 트러스트 ->AD 도메인 및 트러스트 오른쪽 클릭 -> 작업마스터 클릭 ->도메인 명명 작업 마스터 변경 :Lon-dc1.a.com 으로 변경

3. 스키마 마스터 변경
스키마 마스터를 사용하기 위해 dll 파일을 등록
cmd 명령모드
regsvr32 schmmgmt.dll 등록
1.
실행 -> MMC : AD 스키마 추가 ->AD 스키마 오른쪽 클릭 ->AD 도메인 컨트롤러 변경 :Lon-dc1.a.com 선택 ->확인

2. AD 스키마 오른쪽 클릭 -> 작업마스터 클릭->변경 : Lon-dc1.a.com 으로 변경

마지막 작업 마스터 변경 사항 확인
cmd 명령
netdom query fsmo

작업마스터 Lon-dc1.a.com 로 확인

 

#5 강등 

Windows 2003 서버를 도메인 컨트롤러에서 도메인 구성원 강등..
TCP/IP v4 보조DNS 10.10.0.100

1. 실행->dcpromo->AD 설치 마법사 ->다음 ->AD제거 이서버가 도메인의 마지막 도메인 컨트롤러입니다 체크 무시 ->Administrator 암호 입력->ad제거 되먼서 리부팅 되면서 도메인 구성원으로 강등...

 

 

# dcpromo 으로 들어가서 제거 !!

 

* 작업 마스터 5개 변경 *

 

 

 

 

 

 

 

 

 

 

# AD사용자 및 컴퓨터 # cmd -> ​regsvr32 schmmgmt.dll등록 # mmc ->AD 스키마 추가 -> AD도메인 컨트롤로 변경 hujub.vm 선택 확인 -> 작업 마스터 변경 -> AD도메인 트러스트 -> 작업마스터 변경 -> cmd -> netdom query fsmo

​

# win2003

hujub.vm 도메인컨트롤러 생성

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!도메인 기능 수준 2003

​# dcpromo으로 hujub.vm을 만들어줌(새포리스트에 있는 도메인)으로 IP 192.168.1.100 DNS 192.168.1.100

# ​win2003 도메인 수준 win2003수준 2003으로 업그레이드

# win 2003 win 2008CD넣어준다​

#​ 드라이브 변경 : D:
# CD support\adprep
# 포리스트 확장
# adprep32.exe /forestprep ->C 입력 후 ENter

​# 도메인 확장/그룹정책 확장(정보 업데이트)
- adprep32.exe /domainprep /gpprep

# windows 2008R2 Read-only Domain controller 추가 하기위한 사전 작업
- adprep32.exe /rodcprep

nyc-srv2 도메인 편입

# ​

hujub.vm

​

​

win2003 forest/group policy/domain/rodc 확장

nyc-srv2 추가 도메인 컨트롤러 생성

nyc-srv2 작업 마스터 5개 변경

win2003 추가 도메인 컨트롤러에서 해제 도메인 구성원으로

강등.......단 기본 DNS 192.168.1.30 확인​

​